Mozilla прийняла рішення показувати значки “небезпечно” на всіх HTTP-сайтах, що завантажуються Firefox. Нові зміни вступлять в силу в версії Firefox 70, вихід якої запланований на жовтень 2019 року. Раніше ці значки відображалися тільки на сайтах, що містять форми або поля входу в систему.
Як заявила Mozilla, оскільки більше 80% всіх інтернет-сторінок тепер використовують HTTPS, відображати значок “небезпечно” тепер доцільно тільки для HTTP-з’єднань.
За словами розробника Firefox Йохана Хоффмана (Johann Hofmann), у браузері Firefox 70 буде відображатися значок в “блоці ідентифікації” (в лівій частині панелі URL, який використовується для відображення інформації про безпеку та конфіденційність), який позначатиме всі сайти, які використовують HTTP, як небезпечні.
Над цією зміною Mozilla працює з грудня 2017 року. Тоді компанія додала в Firefox низку опцій в розділ about:config. Вони як і раніше доступні в поточній версії Firefox, і користувачі можуть ввімкнути їх і подивитися, як будуть виглядати значки небезпечного підключення. Для цього потрібно перейти в розділ about:config і знайти такі опції:
- security.insecure_connection_icon.enabled (показати значок зламаного замка на HTTP-сайтах);
- security.insecure_connection_text.enabled (показати “небезпечний” текст на HTTP-сайтах);
- security.insecure_connection_icon.pbmode.enabled (показати значок зламаного замка на HTTP-сайтах в режимі інкогніто);
- security.insecure_connection_text.pbmode.enabled (показати «небезпечний» текст на HTTP-сайтах в режимі інкогніто).
До речі, в плагіні Ad Inserter для WordPress, встановленому на більш ніж 200 000 сайтів, знайшли уразливість, яка дозволяє зловмисникові віддалено виконати PHP-код. Уразливість зачіпає всі web-сайти на WordPress з встановленою версією Ad Inserter 2.4.21 або нижче.
Також фахівці Check Point виявили новий вид шкідливого ПЗ для Android, який встиг заразити більше 25 млн пристроїв.
Стало відомо, що Facebook вбудовує приховані коди в фотографії, завантажені користувачами на сайт. Компанія може відстежувати пов’язану з ними активність і використовувати ці дані для таргетованої реклами.
Окрім цього, дослідник із безпеки Лаксман Мутія (Laxman Muthiyah) повідомив про критичну уразливість в мобільному додатку Instagram. Експлуатація уразливості дозволяла скинути пароль для всіх облікових записів Instagram і отримати повний контроль над ними.